XrML在会计信息系统中的运用.ppt

* 安全控制技术 正常的防范措施主要在三个方面： 对主机房及重要信息存储、收发部门进行屏蔽处理---屏蔽室，其与外界的各项联系连接要采取相应的隔离措施（符合国家标准、放火抗震、技术先进经济合理、维护管理方便，利于发展扩充、系统安装符合要求） 对本地网、局域网传输线路传导辐射的抑制：光缆传输 对终端设备辐射的防范：订购设备是选择低辐射产品、干扰机、装饰性屏蔽室 * 安全控制技术 备份系统设计 备份的目的在于预防突发事件。对备份数据的存取速度没有要求，但关注备份的可管理性及存储介质的容量。 备份设备的选择。常见的存储介质类型有：磁盘、磁带、光盘和磁光盘。通常情况下，使用光盘及磁带较多。 备份策略： 完全备份：对整个系统进行备份。优：恢复数据很方便；缺：每天对整个系统进行备份造成备份数据大量重复，占据磁盘空间，成本加大，同时备份时间长。对业务繁忙、时间有限的企业不适用。 * 安全控制技术 备份系统设计 增量备份：第一天完全备份，以后6天对新增或修改数据进行备份。优：节省磁盘空间，缩短时间；缺：数据恢复麻烦，备份的可靠性差（其中一个磁盘出现问题，整个备份瘫痪） 差分备份：第一天完全备份，以后6天比照第一天进行新增备份。同时具有前两种备份的优点，并避免了缺陷。 数据备份策略实例：通常是上述三种方法结合，如周一至周六增量备份或差分备份，每周日（每月底，每年底）完全备份。 * 网络的安全防范技术 网络安全主要解决方式简介 网络冗余：对关键性的网络线路、设备通常采用双备份或多备份的方式。 系统隔离：分为物理隔离和逻辑隔离，划分合理的网络安全边界，不同安全级别不能相互访问。在会计信息系统中将业务系统网络与内部办公网络进行物理隔离。 访问限制：对于网络不同信任域实现双向控制或有限访问原则。网络资源——有限访问；信息流向——单向或双向 身份鉴别，三种方式：①主体了解的秘密；②主体携带的物品；③主体特征或能力。在会计信息系统中，主要是前两种方式。 * 网络安全防范技术 网络方式主要解决方式简介 通讯加密：链路层加密，网络层加密，应用层加密 安全监测：采取信息侦听的方式寻找未授权的网络访问尝试和违规行为，其中网络扫描监测系统是对付电脑黑客最有效的技术手段。 网络扫描：针对网络设备的安全漏洞进行检测和分析，识别网络漏洞，使网管能检测和管理安全风险信息。 * 网络安全防范技术 网络防火墙 防火墙主要用来屏蔽和允许指定的数据通讯 防火墙的选择要素：①能力，应选择能力强的；②速度，信息处理速度要快，建议采用高性能硬件产品；③管理，应便于管理；④安全，本身不易被攻破；⑤VPN加密，信息出去加密，接收解密，防止被第三方截获。 警惕误区：一次配置，永远运行；审计是可有可无的；配置无需改动 * 网络安全防范技术 网络主动式防御系统: 系统扫描：预防性检查，及时发现问题并解决，判断是否存在漏洞。主要手段有： （1）基于应用的检测技术：采用攻击性的办法检查应用软件的设置 （2）基于主机的检测技术：采用非破坏性的办法对系统进行检测 （3）基于目标的漏洞检测技术：采用非攻击性的办法检查系统属性和文件属性 （4）基于网络的检测技术：采用非攻击性的办法来检验系统是否有可能被攻击崩溃 * 网络安全防范技术 入侵检测：从计算机网络系统中的关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。是安全防御体系中一个重要的组成部分。 主要功能：查找非法用户和合法用户的越权操作；检测安全漏洞；发现入侵行为的规律；检查系统程序和数据的一致性与正确性。 入侵检测的种类：基于主机的入侵检测系统，基于网络的入侵检测系统，分布式入侵检测系统。 * 网络安全防范技术 网络病毒防范：病毒防护和内容过滤 网络化的病毒防护：对传统病毒实行清除，对新型病毒实时网络监控及清除，发现并响应病毒入侵警告 一次性扫描：高性能一次性扫描 病毒防护和Web过滤技术:具备自动病毒探测和防护功能 提高网络吞吐量和可用性:病毒防护及内容的过滤应减少穿越防火墙和通过网络Web的流量 全面安全策略管理:可定制过滤设置,使用向导,借助一整套特性来监控和分析 * 数据库技术 安全控制策略 权限分配：所有权限分配给系统管理者，只有其有权增加注册者（可以登陆服务器但不能访问数据库）。数据库属主有权增加用户（可以使用分配的数据库）。首先以注册者的身份登陆，系统自动打开默认数据库，其身份即转化为用户。 用户登录：通过口令验证，注册与验证同步进行，需要用户名和口令同时正确。 权限控制：用户的活动范围限制在小范围内。对象的所有者或创建者自动被授予对象的许可权，所有者再将许可权授予（或取消）用户。数据库所有者（所拥有数据库中一切对象的全部许可权）系统管理者（服务期内所有数据库的一切对象的全部许可权） * 数据库技术 安全